[dronis3]

Помогите или подскажите куда копать. Схема обычная 4g модем подключен к dir320 (с зиксель прошивкой) работает все хорошо, через VPN туннель сделан доступ на этот дир320/зиксель все прекрасно, а вот на hilink 4g модем не могу понять как зайти. этот модем раздает dhcp сервер. Но кто прошивает модемы для сим карт от смартфона от YOTA, то понял в чем смысл. Вот как мне через VPN на DIR320 зайти на 4g модем? Я конечно и в межсетевом экране делал и в трансляциях портов делал правила различные, но сдаюсь и прошу помощи.

[stas_k]

сдаюсь и прошу помощи.

берешь тетрадный лист в клеточку, рисуешь логическую блок схему как оно сейчас, каждое логическое устройство, его IP адреса, таблицы маршрутов. стрелочками связи, представляешь что ты IP пакет и тебе надо попасть в модем.

[dronis3]

Примерно так я делал. шлюз роутра 192.168.10.1, шлюз 4g модема 192.168.8.1, я в пробросах порта выбираю VPN PPTP и с него пробрасываю порт в 192.168.1.80 и другие выбирал функции вместо PPTP. И ничего)

[dronis3]

http://s48.radikal.ru/i122/1606/92/79fb4644400f.jpg

http://s017.radikal.ru/i432/1606/e5/fbb7240593b1.jpg

http://s45.radikal.ru/i110/1606/c4/eb6b991cac77.jpg

http://s48.radikal.ru/i122/1606/dc/8f5d0137b25f.jpg

 

Примерно выглядит все так. Я еще на микротике добавил статический маршрут на 192.168.8.0/24, на 192.168.10.0/24 с самого начала ввел что бы был доступ на дир320.

Изменено 11 июня, 2016 пользователем dronis3

[Astaros]

с длинком-зюкселем не сталкивался по жизни, но допустим вместо длинка стоит опенврт - там приходилось ручками маршрут до 192.168.8.1 прописывать.

Посмотри как на микроте с хайлинком сделано

Изменено 11 июня, 2016 пользователем Astaros

[dronis3]

с длинком-зюкселем не сталкивался по жизни

Тут дело такое, что я сам уже на микротиках больше стал понимать чем на обычных, но есть одно "НО" 4g модем очень криво работает в usb порту микротик и я прошил dir320 на зиксель прошивку и вот оно чудо, стабильность всех стабильностей! Далее у меня на микротике есть PPTP сервер где через него глобал мониторинг всех и все серых и других сетей) (но сами понимаете). Я делаю vpn туннель до это дир-зикселя по факту это уже зиксель и получаю удаленку, но не могу получить удаленку до хайлинк 4джи модема подключенного к dir320(( Вот печаль, возможно если не решу эту проблему, то найду способ обойтись и без этого мониторинга..

Изменено 11 июня, 2016 пользователем dronis3

[dronis3]

Я вот думаю может DMZ функция на 4g модеме это вырулит, но никто еще конкретно не может дать направления куда копать.

[Astaros]

Маршрут на дир320 до хоста 192.168.8.1 есть?

[NewUse]

поменяйте диапазон одной из сетей 172.16.1.0

[dronis3]

Маршрут на дир320 до хоста 192.168.8.1 есть?

А вот в этом у меня и вопрос, как это сделать в зиксель прошивке?

 

поменяйте диапазон одной из сетей 172.16.1.0

А в чем большая разница между 192.168.10.0 и 192.168.8.0 или 192.168.10.0 и 172.16.1.0?

[Astaros]

Думаю тут сначала нужен тетрадный лист и route print со всех причастных.

[NewUse]

А в чем большая разница между 192.168.10.0 и 192.168.8.0 или 192.168.10.0 и 172.16.1.0?

В глюках некоторых железяк, не умеющих поднимать НАТ между двумя сетями /24 из диапазона 192.168.0.0/16, встречал где-то такой глюк.

Ну и схемы я так и не увидел, скрины настойки нафиг не нужны, пока не ясно что Вы пытаетесь настроить.

[dronis3]

А в чем большая разница между 192.168.10.0 и 192.168.8.0 или 192.168.10.0 и 172.16.1.0?

В глюках некоторых железяк, не умеющих поднимать НАТ между двумя сетями /24 из диапазона 192.168.0.0/16, встречал где-то такой глюк.

Ну и схемы я так и не увидел, скрины настойки нафиг не нужны, пока не ясно что Вы пытаетесь настроить.

Честно говоря меня смущают настройки зиксель и мне надо понять где строить этот маршрут, в трансляциях адресов или в межсетевом экране. На счет глюка понял сменю.

[Astaros]

Как в зиксель - не знаю, чесслово)

[dronis3]

А в чем большая разница между 192.168.10.0 и 192.168.8.0 или 192.168.10.0 и 172.16.1.0?

В глюках некоторых железяк, не умеющих поднимать НАТ между двумя сетями /24 из диапазона 192.168.0.0/16, встречал где-то такой глюк.

Ну и схемы я так и не увидел, скрины настойки нафиг не нужны, пока не ясно что Вы пытаетесь настроить.

NAT и там и там поднят. У меня хайлинк раздает DHCP роутеру dir320 под ип-шником 192.168.8.100, а дира320 подсеть 192.168.10/24 и на дир320 есть туннель с микротиком с которым все нормально и есть доступ через серый ип на дир-320 и я хочу еще доступ на хайлинк с подсетью 192.168.8.0/24

[NewUse]

Ну у Вас есть два варианта: нат+проброс порта (второй НАТ), либо маршрутизация вместо одного из НАТов. И, да, переключитесь на английский язык, а то ни черта не понять, хотя мало вероятно что в фаерволе можно настраивать маршрутизацию.

 

Самый простой вариант -- убрать нафиг DHCP и NAT на роутере, вариант сложнее -- отключить NAT на модеме, переведя его в режим сетевого адаптера (для этого роутер должен уметь работать с модемом в таком режиме)

 

Вариант третий: пописать маршрутизацию на (по всей видимости) микротике на vpn-соединение.

Изменено 11 июня, 2016 пользователем NewUse

[dronis3]

http://s018.radikal.ru/i500/1606/2d/64d939a07bea.jpg

http://s017.radikal.ru/i410/1606/56/36265e3765e7.jpg

На dir320 172.16.100.0/24 на HiдLink 192.168.8.0.24 на обоих NAT.

Изменено 11 июня, 2016 пользователем dronis3

[NewUse]

О, так понятнее: Фаерволл, как я писал ранее Вам не актуален, проброс потов Вам не поможет(с большой долей вероятности настолько продвинутых настоек в моде этой пошивки нет), остальное отписал выше, если бы разрисовали схему "на бумажке" то бы поняли это уже давно. Пр

[dronis3]

О, так понятнее: Фаерволл, как я писал ранее Вам не актуален, проброс потов Вам не поможет(с большой долей вероятности настолько продвинутых настоек в моде этой пошивки нет), остальное отписал выше, если бы разрисовали схему "на бумажке" то бы поняли это уже давно. Пр

http://s017.radikal.ru/i425/1606/cf/0866b727c3c4.jpg

http://s018.radikal.ru/i505/1606/a7/144b8ef1288c.jpg

Я думаю тут есть нужные настройки.

[NewUse]

Это маршрутизация, при NAT она Вам не нужна, нарисуйте уже, наконец схему.

[dronis3]

Это маршрутизация, при NAT она Вам не нужна, нарисуйте уже, наконец схему.

 

http://s020.radikal.ru/i705/1606/c7/f4ad33b4c1a1.jpg

Изменено 11 июня, 2016 пользователем dronis3

[NewUse]

Отлично, но на схеме не хватает ещё одного устройства, того, с которого Вы пытаетесь зайти. И подпишите собственные адреса устройств, интерфейсов

 

Ладно, через командную строку похоже zyxel умеет то, что Вы пытаетесь сделать:

http://download.from.zyxel.ru/237bc664-4d9d-4158-be96-94e7b522b6d6/cli_manual_ru_k_4g_rb.pdf

ip static tcp Home 8880 192.168.8.1 80

Где Home -- имя внутреннего интерфейса роутера, а 192.168.8.1 -- адрес модема.

Доступ к WEB-модема: http://172.16.100.1:8880/

возможно даже сработает, но это удаление гланд через задний проход.

 

Варианты более корректного решения я привёл выше.

[dronis3]

Захожу я с устройства которое подключено к PPTP серверу и имеет оно тоже виртуальный ип типа как у dir320 c сервером 10.100.0.2 только там чуть по другому. Но я короче могу заходи через сервак PPTP на dir320 и осталось теперь через ж... зайти в hilink. Вот на счет 8880 порта не совсем понял, его что сменить надо будет? Адрес моего интерфейса обычный 192.168.1.0/24 если про это, но вся связь осуществляется через PPTP сервер микротик, на котором подсеть дефолт 192.168.88.0/24 и прописаны статические маршруты в сторону pptp клиентов с их подсетью.

Изменено 11 июня, 2016 пользователем dronis3

[NewUse]

Ну не плохо бы Вам понять как у Вас в сети 10.100.0.0 идёт маршрутизация на сеть 192.168.8.0/24 -- ответ будет корректным решением, а не совсем через Ж.

порт 8880 я ввёл для того чтоб Вы не потеряли доступ роутеру по адресу http://172.16.100.1 (порт 80)

А совсем прямое решение -- перевод модема в режим интерфейса, но для этого Zyxel должен поддерживать данный режим работы:

http://wiki.netair.by/wiki/article/disable_hilink

 

и прописаны статические маршруты в сторону pptp клиентов с их подсетью.

 

А вот тут подробнее, что прописано?

[dronis3]

Ну не плохо бы Вам понять как у Вас в сети 10.100.0.0 идёт маршрутизация на сеть 192.168.8.0/24 -- ответ будет корректным решением, а не совсем через Ж.

порт 8880 я ввёл для того чтоб Вы не потеряли доступ роутеру по адресу http://172.16.100.1 (порт 80)

А совсем прямое решение -- перевод модема в режим интерфейса, но для этого Zyxel должен поддерживать данный режим работы:

http://wiki.netair.by/wiki/article/disable_hilink

В том то и дело что маршрутизация получается не как не идет на 192.168.8.0/24 я прописал конечно в микротике, но сам понимаю пока хайлинк не поднимет pptp подключение с сервером она работать должным образом не будет, а вот 320 у мен поднял это подключение и там все работает и я не могу понять как получить доступ через 320 на этот хайлинк.